Le malware SkinnyBoy est utilisé par des pirates russes pour cibler des organisations

0

Des chercheurs en sécurité ont découvert un nouveau malware appelé SkinnyBoy qui a été utilisé dans des campagnes d’hameçonnage ciblé attribuées au groupe de piratage russophone APT28.

Le groupe de pirates informatique, également connu sous le nom de Fancy Bear, Sednit, Sofacy, Strontium ou PwnStorm, a utilisé SkinnyBoy dans des attaques visant des institutions militaires et gouvernementales plus tôt cette année.

SkinnyBoy utilise des tactiques classiques

SkinnyBoy est destiné à une étape intermédiaire de l’attaque, pour collecter des informations sur la victime et récupérer la prochaine charge utile du serveur de commande et de contrôle (C2).

Selon la société de recherche sur les menaces Cluster25, APT28 a probablement lancé cette campagne au début du mois de Mars, en se concentrant sur les ministères des Affaires étrangères, les ambassades, l’industrie de la défense et le secteur militaire.

De nombreuses victimes se trouvent dans l’Union européenne, mais les chercheurs ont déclaré que l’activité pourrait également avoir eu un impact sur des organisations aux États-Unis.

SkinnyBoy est livré via un document Microsoft Word associé à une macro qui extrait un fichier DLL agissant comme un téléchargeur de logiciels malveillants.

Le leurre est un message avec une invitation falsifiée à un événement scientifique international organisé en Espagne à la fin du mois de juillet.

L’ouverture de l’invitation déclenche la chaîne d’infection, qui commence par l’extraction d’une DLL qui récupère le dropper SkinnyBoy (tpd1.exe), un fichier malveillant qui télécharge la charge utile principale.

Une fois sur le système, le dropper établit la persistance et se déplace pour extraire la charge utile suivante, qui est encodée au format Base64 et ajoutée en superposition du fichier exécutable.

skinnyboy

Cette charge utile se supprime après avoir extrait deux fichiers sur le système compromis :

  • C:\Users\%username%\AppData\Local\devtmrn.exe (2a652721243f29e82bdf57b565208c59937bbb6af4ab51e7b6ba7ed270ea6bce)
  • C:\Users\%username%\AppData\Local\Microsoft\TerminalServerClient\TermSrvClt.dll (ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f5ae7ad4ad583698)

Pour garder un profil bas, le malware exécute ces fichiers à un stade ultérieur, après avoir créé un mécanisme de persistance via un fichier LNK dans le dossier de démarrage de Windows, indique Cluster25 dans un rapport.

Le fichier LNK est déclenché au prochain redémarrage de la machine infectée et recherche la charge utile principale, SkinnyBoy (TermSrvClt.dll), en vérifiant les hachages SHA256 de tous les fichiers sous C:\Users\%username%\AppData\Local.

Le but de SkinnyBoy est d’exfiltrer des informations sur le système infecté, de télécharger et de lancer la charge utile finale de l’attaque, qui reste inconnue pour le moment.

La collecte des données se fait en utilisant les outils systeminfo.exe et tasklist.exe déjà présents dans Windows, qui lui permettent d’extraire des noms de fichiers dans des emplacements spécifiques :

  • C:\Users\%username%\Desktop
  • C:\Program Files – C:\Program Files (x86)
  • C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
  • C:\Users\%username%\AppData\Roaming
  • C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Templates
  • C:\Windows – C:\Users\user\AppData\Local\Temp

Toutes les informations ainsi extraites sont livrées au serveur C2 de manière organisée et encodées au format base64.

Cluster25 dit que l’attaquant a utilisé des services VPN commerciaux pour acheter des éléments pour leur infrastructure, une tactique que les pirates utilisent généralement pour mieux cacher leurs activités.

skinnyboy

Après avoir observé les tactiques, techniques et procédures, Cluster25 pense que SkinnyBoy est un nouvel outil du groupe de menace russe connu sous le nom d’APT28. La société a une confiance moyenne à élevée dans son attribution.

Dans le rapport récent, Cluster25 fournit des règles YARA pour tous les outils examinés par ses chercheurs (droppers SkinnyBoy, lanceur et la charge utile elle-même) ainsi qu’une liste d’indicateurs de compromis observés qui peuvent aider les organisations à détecter la présence du nouveau malware.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire